Access Control Lists einrichten und anwenden

Geteilte Dateien

Mit dem klassichen Linux-Dateisystem schützen Sie auf einfache Weise Ihre Daten. Wollen Sie aber selektiv den Zugriff für unterschiedliche Personen freigeben, kommen Sie an Access Control Lists nicht vorbei.

Großrechner bieten diese Möglichkeit schon lange: Eine Reihe von Nutzern greifen mit unterschiedlichen Rechten auf einzelne Dateiobjekte zu. Ein Beispiel dafür ist die Implementation RACF für das Betriebsystem z/OS. Diese findet auf Großrechnern von IBM Verwendung, die manch einer vielleicht aus der Werbung kennt: "Wo sind alle unsere Server hin?"

Seit einiger Zeit gibt es Patches für den Linux-Kernel, mit denen Sie einem aktuellen Kernel der Reihe 2.4 diese Fähigkeiten ebenfalls beibringen können. Doch bevor wir mehrere Nutzer auf unsere Dateien loslassen, erstmal ein kleiner Überblick über die klassische Vergabe von Zugriffrechten.

Zugriffsregeln klassisch

Neben dem Zugriffsschutz auf das System selbst, also dem Login mit Passwort, überwacht des Betriebssystem den Zugriff auf die einzelnen Objekte (Dateien, Verzeichnisse und Geräte). Dafür besitzt jedes Objekt und jeder Prozess zwei verschiedene Attribute: einen Eigentümer und eine Gruppe.

Zudem gibt es für jedes Objekt noch Zugriffsrechte, die für den Eigentümer, die Gruppe und alle anderen Benutzer auf dem System separat gesetzt werden. Lassen Sie sich mit ls -l den Inhalt eines Verzeichnisses anzeigen, finden Sie dort die Zugriffsrechte in der ersten Spalte (Kasten 1).

Kasten 1: Zugriffsarten auf Objekte im Linux-System

r read (lesen) Lesen oder Kopieren des Dateiinhalts
w write (schreiben) Schreiben oder Ändern von Dateiinhalten
x execute (ausführen) Das Ausführen von Programmen, die in Dateien enthalten sind

Arbeiten Sie mit einer Datei, prüft Linux jedesmal, wie ein von Ihnen gestartetes Programm zugreifen darf. Wichtig ist dabei, dass die benötigten Zugriffsrechte vorhanden sind. Zusätzlich müssen Sie berücksichtigen, dass der Prozess nicht nur Ihre Nutzer- und Gruppen-ID trägt, sondern zudem Informationen über die effective user ID und die effective group id berücksichtigt werden.

Der "effektive Nutzer" (effective user) leitet sich in der Regel aus Ihrer Benutzer-ID ab, wenn Sie ein Programm starten. Bei der Gruppe verhält es sich genauso. Ruft dieses Programm ein weiteres auf, so erbt dieses wiederum Nutzer und Gruppe vom aufrufenden Prozess. Der effektive Nutzer ist demnach identisch mit dem realen Nutzer.

Der effektive Nutzer ändert sich, wenn beim aufgerufenen Programm das so genannte S-Bit gesetzt hat. In diesem Fall erbt der Prozess nicht Nutzer und Gruppe des Vaterprozesses, sondern erhält den Nutzer, der als Besitzer des Binaries im Dateisystem eingetragen ist. Um dann immer noch herausfinden zu können, wer den Prozess eigentlich gestartet hat, gibt es neben der Effective User ID auch eine Real User ID, die über den wirklichen Prozessbesitzer informiert. Die folgenden Zeilen zeigen ein Beispiel dafür.

root@maus:# cp /bin/sleep /bin/rootsleep
root@maus:# chmod u+s /bin/rootsleep
root@maus:# su volker -c "rootsleep 25" &
root@maus:# /bin/ps -aeo pid,euser,ruser,command|grep fdisk
12887 root     volker   rootsleep 25

Das Dienstprogramm passwd

Ein gutes Beispiel für die Verwendung des S-Bits ist das Programm passwd. In einem Linux-System liegen alle verschlüsselten Passwörter der Nutzer in der Datei /etc/passwd. Aus Sicherheitsgründen ist diese Datei natürlich so geschützt, dass nur der Administrator Schreibrechte auf diese Datei besitzt.

Dennoch muss der Nutzer sein Passwort ändern können. Dies ermöglicht ihm das Programm passwd, bei dem das S-Bit für den Eigentümer gesetzt ist. Manchen Distributoren setzen es auch bei der Gruppe. Ist es gesetzt, erscheint statt dem x ein s, wenn Sie sich eine solche ausführbare Datei mit ls -l ansehen:

volker@maus:~> ls -l /usr/bin/passwd
-rwsr-xr-x    1 root  shadow  27604 Sep 20  2001 /usr/bin/passwd
volker@maus:~> ls -l /etc/passwd
-rw-r--r--    1 root  root     2070 Feb 10  2002 /etc/passwd

Jeder Anwender darf das Programm passwd aufrufen. Zusätzlich ist das S-Bit für den Eigentümer gesetzt. Damit erhält beim Programmstart der Prozess den effektiven Nutzer root. Mit diesem effektiven Nutzer darf nun jeder die Datei /etc/passwd, die ja für den User root schreibbar ist, andern und somit sein Passwort neu setzen. Dabei achtet das Programm passwd darauf, dass der Nutzer dies wirklich nur für seinen eigenes Eintrag in der Datei macht.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Zugangskontrolle
    Linux ist simpel: Alles ist eine Datei – und wer was damit tun darf, legt man einfach über die Dateiberechtigungen fest.
  • Wie Dateisysteme funktionieren
    Linux und Windows teilen sich problemlos eine Festplatte, doch der Zugriff auf die Partitionen des jeweils fremden Systems sorgt oft für Probleme – wir erklären, woran das liegt.
  • FreeBSD und PC-BSD 8.1 mit verbessertem ZFS für mehr CPUs

    Das FreeBSD-Projekt erweitert mit Release 8.1 sein Unix-Betriebssystem um Hardware-Unterstützung und aktualisiert Software.
  • WaveTools
    In Ausgabe 01/2003 haben wir ausführlich Einsatzgebiete der WaveTools, insbesondere der Programme wfct, wflt, wmix, und wplot, vorgestellt. Jetzt werfen wir einen Blick auf die restlichen Tools und zeigen deren Anwendungsmöglichkeiten.
  • Das beste dreier Welten
    Zu hell oder zu dunkel: Manchmal kann ein Foto nicht gelingen. Doch dank Gimp gibt es Möglichkeiten, die Gegensätze zu vereinen.
Kommentare

Infos zur Publikation

LU 12/2016: Neue Desktops

Digitale Ausgabe: Preis € 5,99
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Aktuelle Fragen

Brother Drucker DCP-J4120
Achim Zerrer, 09.12.2016 18:08, 0 Antworten
Hallo, ich wollte unter Leap 42.1 den Brother Drucker installieren und dazu das PPD- Datei vom do...
Drucker Epson XP-332 unter ubuntu 14.04 einrichten
Andrea Wagenblast, 30.11.2016 22:07, 2 Antworten
Hallo, habe vergeblich versucht mein Multifunktionsgerät Epson XP-332 als neuen Drucker unter...
Apricity Gnome unter Win 10 via VirtualBox
André Driesel, 30.11.2016 06:28, 2 Antworten
Halo Leute, ich versuche hier schon seit mehreren Tagen Apricity OS Gnome via VirtualBox zum l...
EYE of Gnome
FRank Schubert, 15.11.2016 20:06, 2 Antworten
Hallo, EOG öffnet Fotos nur in der Größenordnung 4000 × 3000 Pixel. Größere Fotos werden nic...
Kamera mit Notebook koppeln
Karl Spiegel, 12.11.2016 15:02, 2 Antworten
Hi, Fotografen ich werde eine SONY alpha 77ii bekommen, und möchte die LifeView-Möglichkeit nu...